《认证技术白皮书》由会员分享,可在线阅读,更多相关《认证技术白皮书(28页珍藏版)》请在金锄头文库上搜索。
1、认证技术白皮书目录1前言.22为什么使用认证 .23认证相关技术 .33.1PPPOE接入认证原理 .43.2WEB 接入认证原理 .83.3802.1X 接入认证原理 .143.4绑定认证原理 .183.5各种认证方式比较 .184华为认证方案特点 .错误!未定义书签。4.1华为公司认证解决方案特点.错误!未定义书签。5华为认证技术解决方案 .195.1PPPOE接入认证典型组网方式 .205.2WEB 接入认证典型组网方式.225.3802.1X 接入认证典型组网方式.245.4绑定认证典型组网方式.265.5多种认证自由组合 .261 前言在数据网络中,包括企业网、INTERNET 网络
2、等等,追求的是网络简单、开放,所有人可以自由接入和使用。而在电信数据网络中,运营商(比如网络服务提供商NSP、业务提供商ISP等 )关心的是网络可运营和可管理,要管理每个用户的接入、业务使用、费用等等。在可运营、 可管理网络中, 引入了针对用户管理的AAA 技术,包括认证( Authentication )、授权( Authorization )、计费( Accounting )三个技术:认证,是在用户开始使用系统时对其身份进行的确认动作。授权,是在网络安全中,授权某用户以特定的方式与某网络系统通信。计费,是记录并提供关于经济活动的确切清单或数据。认证是识别用户身份的过程,而授权是根据认证识别
3、后的用户情况授予对应的网络使用权限( QoS、带宽限制、访问权限、用户策略),而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息(时长、流量、位置等等),三个技术紧密联系但又相互独立的。认证技术是用户管理最基本的技术。目前网络中,有许多设备不支持认证,有许多设备只支持某一种认证,同时认证技术种类繁多、认证要求各不相同,造成网络中认证方案的混淆和混乱。华为公司经过多年的努力,通过在全球运营商网络中大量的应用,对认证技术进行合作分析、商用、评估等,输出了完整的、成熟的认证技术和方案,有效地提供了认证技术选择、认证方案实施,很好地促进了宽带网络的优化和应用。本文将从如下几个方面介绍
4、认证技术:为什么使用认证认证相关技术华为认证技术解决方案及特点华为认证方案相关设备2 为什么使用认证电信数据网的困惑在电信数据网络中,服务提供商(比如网络服务提供商NSP、业务提供商SP等 )关心的是网络可运营和可管理,要管理每个用户的接入、业务使用、费用等等。而电信数据网络中大量使用的是广泛应用在企业网、 INTERNET 网络中的以太网交换机、路由器等设备,遵循的是典型的数据网络理念,追求的是网络简单、开放,自由接入和使用。怎么才能够在电信数据网络中针对用户进行运营、管理呢?最基本的技术就是通过认证识别用户身份。成熟的认证技术当前最为普遍主流认证技术有三种: PPPoE/PPPoEoA/P
5、PPoA认证、 WEB 认证和 802.1X 认证,这三种认证从标准状态、商用情况看,技术上都已经成熟。3 认证相关技术当前最为普遍主流认证技术有三种:PPPoE/PPPoEoA/PPPoA认证、 WEB 认证和 802.1X认证。严格意义上讲,这三种认证技术并不是真正的认证方式,每种认证技术都支持两种以上的认证方式,具体认证技术和认证方式关系如下表所示:表 1 认证技术和认证方式关系表认证技术认证方式PPPoE认证PAP、 CHAP 、 EAPWEB 认证PAP、 CHAP802.1X 认证EAP其中, EAP定义了一个认证构架,包含了很多种认证方式:.PAPCHAPEAP-EAP-EAP-
6、EAPMD5OTPSIMEAP-TLS/TTLSEAP图 2 EAP 认证方式汇总同时,针对特殊应用,还有绑定认证和快速认证等技术。3.1PPPoE 接入认证原理PPP是传统的认证方式之一,PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。PPPoE结合了以太网和PPP连接的综合属性。PPP协议是一种点到点的链路层协议,它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段:LCP(链路控制协议) 阶段,认证阶段(比如 CHAP/PAP ),NCP(网络层控制协议,比如IPCP) 阶段。拨号后,用户计算机和局方的接入服务器在LC
7、P 阶段协商底层链路参数,然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RADIUS 协议将用户名和密码发送给AAA 服务器进行认证。认证通过后,在NCP( IPCP)协商阶段,接入服务器给用户计算机分配网络层参数如 IP地址等。经过PPP的三个协商阶段后,用户就可以发送和接受网络报文。用户收发的所有网络层报文都封装在PPP报文中。 PPP协议的一个重要的功能是提供了身份验证功能。以太网是一种广播网络,其缺点是通讯双方无法相互验证对方身份,通讯是不安全的。PPP协议提供了通讯双方身份验证的功能,但是 PPP协议是一种点对点的协议,协议中没有
8、提供地址信息。如果PPP应用在以太网上,必须使用PPPoE再进行一次封装,PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。认证系统架构对于基于 PPPoE 的认证系统,客户终端上的PPPoE 客户端到 PPPoE 服务器之间为二层网络, PPPoE 服务器负责终结PPPoE 客户端发起的PPPoE 协议,并利用PPP 协议中支持的认证方法对客户终端的PPP 连接请求进行认证。基于 PPPoE 的认证系统架构见下图:PPPoE客户端PPPoE服务器AAA服务器客户终端接入服务器图 3 基于 PPPoE 的认证系统架构基于 PPPoE的认证系统功能实体协议栈见下图。在PPP的 LCP 协商阶段,进行认证。PAP/CHAPPAP/CHAPRADIUSRADIUSUDPUDPIPIPPPPPPPPPPOEPPPOEMACMACMACMACPHYPH
